#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VECT — это сложная угроза в формате Программа-вымогатель как услуга (RaaS), появившаяся в конце декабря 2025 года. Она использует шифрование ChaCha20-IETF для файлов на системах Windows, Linux и VMware ESXi. VECT неэффективно обрабатывает большие файлы, сохраняя только часть данных nonce, критически важных для расшифровки. Для избежания обнаружения злоумышленники применяют тактики, такие как выполнение команд PowerShell для отключения Windows Defender, удаления теневых копий и очистки журналов событий. Кроме того, VECT может распространяться по сетям путем эксплуатации административных общих ресурсов и создания Службы удаленного доступа, что усложняет усилия по восстановлению для затронутых организаций.
-----

ВПО VECT представляет собой сложную и новую угрозу, действующую как платформа «Программа-вымогатель как услуга» (RaaS). Запущенное в конце декабря 2025 года и публично заявляющее о жертвах с января 2026 года, ВПО VECT имеет модульную архитектуру, поддерживающую атаки в средах Windows, Linux и VMware ESXi. ВПО использует алгоритм шифрования ChaCha20-IETF для шифрования файлов, конкретно применяя сырой ChaCha20 для своей процедуры шифрования.

Операционная архитектура демонстрирует уникальные характеристики, особенно при размерах файлов, превышающих 131 072 байта, где ВПО обрабатывает файлы четырьмя фрагментами, но сохраняет только последний 12-байтовый nonce, что приводит к значительной потере данных при попытке расшифровки больших файлов. Напротив, файлы меньшего размера могут быть расшифрованы без проблем благодаря более простым процессам обработки. ВПО VECT ransomware известно тем, что переименовывает зашифрованные файлы с расширением .vect и включает файл с ransom note под названием "!!!_READ_ME_!!!.txt", а также файл обоев, указывающий на активность шифрования.

С точки зрения поведения, VECT использует различные техники для уклонения от обнаружения и затруднения усилий по восстановлению. Он отключает функции Windows Defender с помощью команд PowerShell, удаляет теневые копии для устранения точек восстановления и систематически очищает журналы событий системы, чтобы скрыть свою деятельность. Кроме того, встроенные в его код команды обеспечивают перемещение внутри компании по сетям, например, путем использования административных общих ресурсов и создания Службы удаленного доступа. Это показывает, что VECT не только шифрует файлы, но и обладает способностью распространяться в сетевых средах, увеличивая масштаб своего воздействия.

Что касается вариантов восстановления, попытки использования дешифровщика, основанного на публичных заявлениях, встречают осторожность, поскольку значительная часть данных nonce, критически важных для дешифрования больших файлов, не сохраняется в процессе шифрования. Это создает существенные трудности для жертв, стремящихся восстановить свои файлы, так как восстановление зашифрованных данных без полной информации nonce практически невозможно.

В заключение, вредоносное ПО VECT представляет собой сложную угрозу с четкими оперативными стратегиями, включающими передовые методы шифрования, методы уклонения на основе скрытности и возможности перемещения внутри компании в скомпрометированных сетях. Таким образом, организациям следует принимать строгие превентивные меры, включая поддержание актуальных резервных копий и мониторинг аномальной активности PowerShell для снижения потенциальных рисков, связанных с этим развивающимся вариантом вредоносного ПО.

#ParsedReport #CompletenessLow
30-04-2026

The New Hacking Tool That Lets Anyone Launch Their Own Spyware Company

https://www.certosoftware.com/insights/the-new-hacking-tool-that-lets-anyone-launch-their-own-spyware-company/

Report completeness: Low

Victims:
Android users, Mobile device users

Geo:
New york

ChatGPT TTPs:
do not use without manual check
T1402, T1408, T1417, T1429, T1430, T1512, T1513, T1626.001

IOCs:
Hash: 5

Soft:
Android, WhatsApp, Viber, Telegram, Google Play

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Certo обнаружила KidsProtect, Android RAT, которая позволяет практически полный контроль над смартфоном жертвы, обеспечивая такие функции, как запись разговоров в реальном времени, потоковая передача аудио, отслеживание GPS, чтение SMS и доступ к камере. Приложение маскируется под инструмент родительского контроля и запрашивает обширные разрешения, используя Accessibility Service для перехвата контента. Оно включает механизмы для обхода обнаружения путем отключения Google Play Protect, поддерживает закрепление через BootReceiver и продается как white-label решение, представляя значительную угрозу на рынке stalkerware.
-----

Certo выявила новый инструмент слежения для Android под названием KidsProtect, который функционирует как Троянская программа (RAT). Этот инструмент позволяет операторам получать почти полный контроль над смартфоном жертвы без её ведома. После установки программное обеспечение работает в фоновом режиме, обеспечивая такие возможности, как запись разговоров в реальном времени, потоковая передача аудио через микрофон устройства, отслеживание местоположения по GPS, чтение SMS-сообщений, логирование нажатий клавиш, а также доступ к фотографиям и спискам контактов. Важно отметить, что оно также может удалённо активировать фронтальную и заднюю камеры, а также блокировать удаление пользователем, регистрируя себя в качестве Администратора устройства.

Приложение маскируется под средство родительского контроля, однако его реклама открыто заявляет о возможностях слежки. Анализ APK-файла приложения подтвердил наличие обширных запросов на разрешения, включая ACCESS_BACKGROUND_LOCATION, RECORD_AUDIO, CAMERA и READ_SMS, среди прочего, что демонстрирует его инвазивный функционал. Важным аспектом работы ВПО является использование разрешения Accessibility Service, которое часто используется не по назначению в Android-ВПО для перехвата и чтения содержимого приложений, включая пароли.

Для обеспечения своей эффективности инструкции по установке KidsProtect включают отключение Google Play Protect, встроенного сканера вредоносного ПО, предназначенного для предотвращения установки вредоносного программного обеспечения. Кроме того, приложение запрашивает разрешения SYSTEM_ALERT_WINDOW и REQUEST_IGNORE_BATTERY_OPTIMIZATIONS, что позволяет ему работать постоянно в фоновом режиме, предотвращая его завершение системой из-за мер энергосбережения. Наличие компонента BootReceiver гарантирует, что шпионское ПО автоматически перезапускается после перезагрузки устройства, сохраняя свой контроль над устройством постоянно.

Модель предоставления такой технологии слежения в виде white-label решения представляет собой значительную угрозу, поскольку позволяет различным субъектам легко ребрендить и продавать программное обеспечение, тем самым усложняя усилия по обеспечению соблюдения законодательства в отношении таких инструментов на рынке стаalkerware. Это особенно важно в свете растущего юридического давления на аналогичных операторов, что указывает на то, что без решения проблемы базовой технологии вмешательства могут иметь ограниченную долгосрочную эффективность. Ситуация подчеркивает растущую проблему противодействия распространению шпионского ПО, которое становится все более доступным для любого, кто готов за него заплатить.

#ParsedReport #CompletenessMedium
29-04-2026

TeamPCP-Linked Supply Chain Attack Hits SAP CAP and Cloud MTA npm Packages

https://socket.dev/blog/sap-cap-npm-packages-supply-chain-attack

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Supply_chain_technique
Shai-hulud
Dead_drop_technique

Victims:
Sap cap ecosystem, Developers, Ci cd environments

Geo:
Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1005, T1027, T1059.006, T1078.004, T1102.001, T1105, T1140, T1195.001, T1528, have more...

IOCs:
File: 6
Command: 1
Hash: 5
Url: 1

Soft:
PostgreSQL, Bitwarden, CIRCLECI, TRAVIS, Kubernetes, claude, Slack, Telegram, Discord, VSCode, have more...

Algorithms:
zip, sha256, md5, xor, aes-256-gcm, pbkdf2

Functions:
__decodeScrambled

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок, связанная с TeamPCP, нацелена на пакеты npm, относящиеся к Cloud Application Programming Model от SAP, компрометируя разработчиков и среды CI/CD. Вредоносная нагрузка execution.js представляет собой сильно обфусцированный JavaScript-файл размером 11,7 МБ, который извлекает конфиденциальную информацию из памяти, шифрует ее и загружает на аккаунт жертвы в GitHub. Ключевые методы включают внедрение вредоносных кодов в другие пакеты с использованием украденных токенов npm и создание бэкдоров для закрепления в средах разработки (IDE), что подчеркивает эволюцию тактик TeamPCP.
-----

Недавняя атака на цепочку поставок, связанная с группой злоумышленников, известной как TeamPCP, была выявлена в нескольких пакетах npm, связанных с Cloud Application Programming Model (CAP) от SAP и инструментами облачного развертывания. Эта атака представляет угрозу для разработчиков и сред CI/CD из-за скомпрометированных пакетов, которые загружают и выполняют непроверенные двоичные файлы.

Вредоносная полезная нагрузка, обозначенная как execution.js, представляет собой сильно обфусцированный JavaScript-файл размером около 11,7 МБ. В ней применяются сложные методы кодирования, такие как PBKDF2 для защиты конфиденциальных данных, с 200 000 итераций и использованием определенного соли. Полезная нагрузка имеет несколько уровней обфускации, что делает невозможным восстановление значимых идентификаторов. Кроме того, ВПО разработано таким образом, чтобы останавливать выполнение, если среда настроена на русский язык, и демонстрирует условные переходы на основе переменных среды платформы CI/CD.

Целями эксплуатации являются SSH-ключи, учетные данные облачных провайдеров, файлы конфигурации разработчиков, файлы окружения, криптокошельки и данные приложений для обмена сообщениями. В CI-раннерах полезная нагрузка извлекает конфиденциальную информацию непосредственно из памяти, обходя любые механизмы маскировки, реализованные платформами CI.

Эксфильтрация данных выполняется путем шифрования собранных учетных данных с использованием жестко закодированного открытого RSA-ключа и AES-256-GCM. Скомпрометированные данные загружаются в репозиторий GitHub, созданный под аккаунтом жертвы, с соблюдением конкретной схемы именования, которая использовалась в предыдущих атаках TeamPCP. Для самораспространения ВПО использует украденные токены npm для внедрения полезной нагрузки execution.js в другие пакеты, поддерживаемые жертвой, что указывает на предварительное картирование графа зависимостей SAP CAP.js.

Механизмы закрепления включают создание бэкдор-файлов в инструментах разработки, которые повторно выполняют полезную нагрузку при открытии проектов в интегрированных средах разработки (IDE). По сравнению с предыдущими версиями ВПО TeamPCP, метод закрепления этого варианта сместился в сторону IDE, а не полагался на традиционные файлы автозагрузки системы.

Атака имеет три варианта исполняемого файла execution.js, каждый из которых нацелен на разные пакеты, что свидетельствует о постепенном расширении возможностей. Эта активность согласуется с историей TeamPCP по нацеливанию на инструменты разработки и среды, включая учетные данные GitHub, облачных сервисов и CI/CD. Ключевые сигналы атрибуции включают использование конкретных инженерных решений в коде ВПО и модус операнди, которые соответствуют предыдущим инцидентам TeamPCP, связанным с компрометацией Цепочки поставок.

Организациям рекомендуется отслеживать необычные шаблоны доступа, связанные с установкой пакетов npm, особенно тех, которые связаны с выполнением вредоносных скриптов. Обнаружение подозрительной активности в службах метаданных облака и от инструментов, связанных с выполнением JavaScript, будет иметь решающее значение для снижения воздействия этой развивающейся угрозы.

#ParsedReport #CompletenessHigh
01-05-2026

Watch Guard! Qilin affiliate exploits network appliances for initial access

https://ctrlaltintel.com/research/Qilin/

Report completeness: High

Threats:
Qilin_ransomware
Sliver_c2_tool
Chisel_tool
Cobalt_strike_tool
Rclone_tool

Industry:
Education, Energy, Telco, Healthcare

Geo:
Germany, France, United kingdom, Netherlands, Italy, German

CVEs:
CVE-2025-40554 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)

CVE-2025-9242 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- watchguard fireware (<12.11.4)

CVE-2025-60021 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache brpc (<1.15.0)

CVE-2026-24423 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- smartertools smartermail (<100.0.9511)

CVE-2026-24061 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gnu inetutils (le2.7)

CVE-2025-59718 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.22, <7.2.15, <7.4.11, <7.6.4)
- fortinet fortiswitchmanager (<7.0.6, <7.2.7)
- fortinet fortios (<7.0.18, <7.2.12, <7.4.9, <7.6.4)

CVE-2025-14733 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- watchguard fireware (<12.5.15)


TTPs:
Tactics: 9
Technics: 15

IOCs:
IP: 11
File: 8
Domain: 1
Hash: 22

Soft:
Linux, ESXi, SmarterMail, Flask, Unix, inux sa, esxcli, vim-cmd

Wallets:
tron

Algorithms:
chacha20, sha256

Languages:
python

Links:
https://github.com/ctrlaltint3l/intelligence/tree/main/Qilin

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, code: 2, dump: 1

#ParsedReport #CompletenessHigh
02-05-2026

South-East Asian Military Entities Targeted via cPanel (CVE-2026-41940)

https://ctrlaltintel.com/research/SEA-CPanel/

Report completeness: High

Threats:
Adaptixc2_tool
Ligolo_tool
Ligolo-ng_tool

Victims:
Philippine coast guard, Philippine air force, Philippine government arsenal, Department of national defense, Lao ministry of national defence, Lao ministry of natural resources and environment, Managed service providers, Hosting providers, Indonesian defence sector training portal, China railway society electrification committee, have more...

Industry:
Military, Energy, Transport, Financial, Government

Geo:
South-east asia, Philippines, Canada, Asian, Chinese, China, Philippine, South africa, Indonesian, Vietnamese, Laos

CVEs:
CVE-2026-41940 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cpanel (<86.0.41, <110.0.97, <118.0.63, <126.0.54, <130.0.19)


TTPs:
Tactics: 10
Technics: 15

IOCs:
IP: 2
Domain: 2
File: 2
Url: 1
Hash: 4

Soft:
cPanel, PostgreSQL, sudo, Linux, systemd, Unix

Algorithms:
base64, sha256

Functions:
pg_read_file, GetStream, GetString, GetBytes

Languages:
powershell, python

Links:
have more...
https://github.com/debugactiveprocess/cPanel-WHM-AuthBypass-Session-Checker
https://github.com/watchtowrlabs/watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
29 апреля 2026 года была раскрыта уязвимость CVE-2026-41940 в cPanel и WHM, что привело к быстрой эксплуатации, особенно против военных и правительственных целей в Юго-Восточной Азии. Атакующие использовали публичный код PoC и кастомные эксплойты, включая SQL-инъекцию для повышения привилегий и коммуникацию через ELF-пэйлоад под названием AdaptixC2. Усилия по эксфильтрации данных выявили конфиденциальную информацию, связанную с электрификацией железных дорог Китая, что указывает на согласованную инициативу по сбору разведданных со стороны атакующих.
-----

29 апреля 2026 года была раскрыта уязвимость, идентифицированная как CVE-2026-41940, затрагивающая платформы cPanel и WHM, которая позволяла критическое обход аутентификации для несанкционированного доступа к панелям управления. После раскрытия эксплуатация быстро эскалировала, при этом активность злоумышленников была в основном направлена на военные и государственные структуры в Юго-Восточной Азии, особенно на Филиппинах и в Лаосе, а также на различных провайдеров хостинговых услуг. Актеры использовали общедоступный код доказательства концепции (PoC) для этой уязвимости.

Аналитика от Ctrl-Alt-Intel выделила злоумышленника, действующего с конкретного IP-адреса, который был вовлечен в прямые взаимодействия, направленные на эксплуатацию этой уязвимости. Проведенные операции включали использование кастомного эксплойта, специфичного для индонезийского военного учебного портала, где злоумышленник применил известную аутентифицированную SQL-инъекцию для повышения привилегий в базе данных PostgreSQL, используя функцию сервера COPY ... TO PROGRAM для выполнения команд оболочки.

Актор использовал инфраструктуру управления (C2) с ELF-бэкдором под названием AdaptixC2 для связи, в частности, через домен, настроенный для эксфильтрации данных. Использование таких инструментов, как OpenVPN и Ligolo, способствовало созданию слоя постоянного доступа, который позволял оператору выполнять переходы в сети жертв и устанавливать SSH-доступ с правами root.

Эксфильтрация данных, направленная на конфиденциальную информацию, связанную с Комитетом электрификации Китайского железнодорожного общества, раскрыла сведения о государственной железнодорожной инфраструктуре и управлении в Китае. Похищенные документы содержали детали о практике электрификации железных дорог и записи о встречах среди железнодорожных чиновников, что подтверждает нарушение безопасности критически важных данных, связанных с операционными технологиями, относящимися к железнодорожным системам Китая.

Анализ атрибуции указывал на возможное участие вьетнамских акторов на основе комментариев, найденных в связанных скриптах; однако анализ пришел к выводу, что таких маркеров самих по себе недостаточно для окончательной атрибуции. Характер операций указывал на более масштабную стратегическую инициативу, направленную на сбор региональной разведданных, что подтверждается широтой охвата целевых объектов и фокусом на документах железнодорожной инфраструктуры.

Инцидент отражает быструю эволюцию от раскрытия уязвимости до практической эксплуатации, подчеркивая значительные риски для военных и государственных структур в регионе, а также передовые оперативные методы, применяемые злоумышленниками. Тактика эксплуатации и поведение после компрометации соответствуют шаблонам, характерным для сложных усилий по эксфильтрации данных, что дополнительно указывает на растущую угрозу для региональной инфраструктуры кибербезопасности.

#ParsedReport #CompletenessLow
01-05-2026

Malicious Ad for Homebrew Leads to MacSync Stealer

https://dshield.org/diary/Malicious+Ad+for+Homebrew+Leads+to+MacSync+Stealer/32942/

Report completeness: Low

Threats:
Macc_stealer

Victims:
Macos users

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1041, T1059.004, T1105, T1204.001, T1204.004, T1560

IOCs:
Url: 3
Domain: 1
Hash: 3

Soft:
macOS

Algorithms:
base64, zip, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В последние время киберкампании всё чаще нацелены на устройства macOS, в частности через вредоносную рекламу, которая перенаправляет пользователей на поддельную страницу Homebrew, продвигающую вредоносное ПО MacSync Stealer. Это вредоносное ПО обманывает пользователей, заставляя их выполнять команды в терминале, что позволяет ему получить повышенный доступ и собрать конфиденциальные данные, которые затем отправляются на сервер управления. Это подчеркивает использование тактик социальной инженерии для сокрытия вредоносной деятельности в среде macOS.
-----

Последние тенденции указывают на рост киберкампаний, нацеленных на устройства macOS, в частности на ноутбуки MacBook и мини-компьютеры Mac mini. Один из заметных случаев связан с вредоносной рекламой, которая перенаправляет пользователей на мошенническую веб-страницу, имитирующую Homebrew — популярный сторонний менеджер пакетов для macOS. Эта вредоносная реклама была замечена 30 апреля 2026 года, что привело доверчивых жертв на сайт, который утверждает, что поддерживает Homebrew, но на самом деле продвигает вредоносное ПО MacSync Stealer.

Страница, о которой идет речь, по состоянию на 1 мая 2026 года остается активной и содержит обманные скрипты, побуждающие пользователей загружать ВПО, замаскированное под легитимное программное обеспечение. В частности, пользователей вводят в заблуждение, заставляя копировать и вставлять команды в их терминал, что запускает процесс заражения. После выполнения ВПО запрашивает у приложения Terminal повышенный доступ к Finder в macOS, что облегчает его установку.

На этапе заражения MacSync Stealer функционирует путем сбора конфиденциальной информации с скомпрометированного хоста. Данные временно хранятся в файле `osalogging.zip`, расположенном в директории `/tmp/`, после чего передаются на сервер управления (C2), что сигнализирует об успешной эксфильтрации данных. Базовая инфраструктура спроектирована так, чтобы маскировать вредоносные намерения, затрудняя пользователям распознавание угрозы.

Стейкхолдерам в области кибербезопасности рекомендуется сохранять бдительность и скептицизм в отношении результатов поиска, предлагающих загрузки программного обеспечения, особенно когда задействована Имперсонация. Этот случай подчеркивает необходимость повышения осведомленности о потенциальных атаках, использующих тактики социальной инженерии в экосистеме macOS.

#ParsedReport #CompletenessLow
01-05-2026

The cPanel Situation Is…

https://censys.com/blog/the-cpanel-situation-is/

Report completeness: Low

Threats:
Mirai
Hiddentear

Victims:
Cpanel and whm systems, Hosting providers, Vps providers

CVEs:
CVE-2026-41940 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cpanel (<86.0.41, <110.0.97, <118.0.63, <126.0.54, <130.0.19)


ChatGPT TTPs:
do not use without manual check
T1110.001, T1190, T1486

IOCs:
Hash: 1
File: 10

Soft:
cPanel, anel, Twitter

Algorithms:
sha256

Win API:
ARC

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2026-41940 в cPanel/WHM позволяет неаутентифицированным злоумышленникам обходить аутентификацию и получать повышенный доступ, что приводит к всплеску вредоносной активности, в частности, направленной на VPS и хостинг-провайдеров. Наблюдаются два основных вектора атаки: развертывание вариантов Mirai для действий после эксплуатации и кампания с программой-вымогателем, шифрующей файлы с расширением .sorry. Быстрый рост числа недавно скомпрометированных экземпляров cPanel указывает на крупномасштабную эксплуатацию, предполагая скоординированные усилия, связанные с данной уязвимостью.
-----

Недавнее раскрытие информации о CVE-2026-41940, критической уязвимости обхода аутентификации до аутентификации в cPanel/WHM, привело к значительным последствиям для безопасности этих систем. Эта уязвимость позволяет неаутентифицированным злоумышленникам обходить средства контроля аутентификации и получать повышенный доступ, что может способствовать последующей эксплуатации. После её раскрытия 29 апреля 2026 года наблюдался заметный рост вредоносной активности, направленной на cPanel и WHM. Данные Censys показывают, что примерно 80% новых вредоносных хостов, замеченных 1 мая, работали с этими приложениями, что является резким отклонением от нормальных паттернов активности.

В связи с данной уязвимостью выделились два основных вектора атаки. Первый заключается в развертывании вариантов Mirai, которые запускаются после того, как системы будут скомпрометированы. Второй вектор, по-видимому, представляет собой кампанию по вымогательству, которая изменяет файлы путем их шифрования и добавления расширения .sorry. Быстрый рост количества сообщений о деятельности по вымогательству коррелирует с большим количеством хостов cPanel, которые без необходимости экспонируют файлы через открытые каталоги, что указывает на то, что, вероятно, идет масштабная автоматизированная эксплуатация.

Расследования показали, что всплеск вредоносных классификаций в значительной степени был сосредоточен среди хостов, управляемых провайдерами виртуальных частных серверов (VPS) и хостинг-провайдерами, использующими cPanel. Изначально сравнительный анализ вредоносной активности указывал на то, что системы cPanel вносили ничтожную долю в общий объем до 1 мая, но ситуация кардинально изменилась, когда за один день было добавлено почти 15 000 новых вредоносных экземпляров cPanel, что свидетельствует об эксплуатации уязвимости.

Дальнейшее изучение ВПО, предположительно связанного с этими эксплойтами, указало на вариант Mirai под названием nuclear.x86. Однако анализ бинарного файла показал, что, хотя эксплойты для cPanel не были напрямую интегрированы в ВПО, оно используется как промежуточная площадка для действий после эксплуатации.

Зафиксировано тревожное развитие событий, связанное с программой-вымогателем: на более чем 7 000 серверов cPanel были обнаружены новые открытые каталоги, в которых файлы имели расширение .sorry — это общая черта активности программ-вымогателей. Это расширение файла и структурный паттерн вызывают серьезные опасения относительно скоординированной атаки программы-вымогателя, использующей уязвимость cPanel, которая, по-видимому, развивается по мере обнаружения все большего количества зараженных систем.

#ParsedReport #CompletenessMedium
30-04-2026

Popular lightning PyPI Package Backdoored in Latest Shai-Hulud Wave

https://www.endorlabs.com/learn/popular-lightning-pypi-package-backdoored-in-latest-shai-hulud-wave

Report completeness: Medium

Threats:
Shai-hulud
Dead_drop_technique
Supply_chain_technique

Industry:
Petroleum

Geo:
Russian

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 12
Email: 1
Hash: 3

Soft:
Jupyter notebook, Linux, macOS, claude, Anthropic, sudo, laude ex, laude ag

Algorithms:
sha256, base64, gzip, zip

Functions:
_run_runtime, print, getSecretsFromVault

Languages:
python, javascript

Platforms:
x64, arm, apple

#ParsedReport #CompletenessLow
29-04-2026

Meet Bluekit: The AI-Powered All-in-One Phishing Kit

https://www.varonis.com/blog/bluekit

Report completeness: Low

Threats:
Bec_technique
Smishing_technique
Credential_harvesting_technique
Antibot
Cloaking_technique
Mamont_spy

Victims:
Email and cloud accounts, Developer platforms, Social media, Retail, Crypto services

Industry:
Retail, Transport

ChatGPT TTPs:
do not use without manual check
T1056.003, T1539, T1566.002, T1567, T1583.001

Soft:
Telegram, Gmail, Outlook, ProtonMail, Twitter, GPT-4, Claude, DeepSeek

Platforms:
apple